Minulý měsíc americká vláda nařídila všem federálním zaměstnancům používajícím telefon Pixel, aby si do 4. července nainstalovali nejnovější aktualizaci zabezpečení nebo přestali zařízení používat.
Tento požadavek pocházel ze seznamů známých bezpečnostních děr (KEV), které spravuje CISA (Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury). CVE-2024-32896 zřejmě „může být omezeně cíleně využíváno“.
Využití chyby zabezpečení CVE-2024-32896 by mohlo útočníkovi umožnit eskalaci oprávnění. Eskalace oprávnění by útočníkovi umožnila použít aplikaci k přístupu a zachycení dat, která by za normálních okolností nebyla pro hackera dostupná. Mohlo by to také umožnit útočníkovi provádět neoprávněné akce, které jsou obvykle vyhrazeny pro uživatele s vyššími oprávněními. Jak vidíte, jedná se o vážný problém. V době objevení problému nebyla k dispozici žádná oprava ani jiné řešení.
Google oznámil, že CVE-2024-32896 neovlivňuje pouze zařízení Pixel, ale jde o bezpečnostní chybu na zařízeních Samsung Galaxy a všech ostatních telefonech Android. Zatímco Samsung již vydal červencovou bezpečnostní aktualizaci pro své telefony Galaxy, aktualizace neobsahovala opravu zranitelnosti. Zařízení Pixel měla tuto chybu zabezpečení opravenou, zatímco Galaxy a další modely Android problém nevyřešily.
Google dodal, že „k kompromitaci zařízení by byly potřeba další exploity“, což opravdu není něco, co by vás uklidnilo, protože GrapheneOS říká: „Jsou tu dvě zranitelnosti, které se řeší. Žádný problém se zatím mimo Pixely neopravuje.“
Google přiznal, že tato chyba ještě nebyla opravena mimo zařízení Pixel a společnost Forbes řekla : „Zabezpečení systému Android si je tohoto problému vědomo a po dalším přezkoumání tento problém ovlivňuje platformu Android… Zařízení Pixel, která mají nainstalovanou nejnovější aktualizaci zabezpečení jsou chráněny… upřednostňujeme použitelné opravy pro ostatní partnery Android OEM a zavedeme je, jakmile budou k dispozici.“
Červencová bezpečnostní aktualizace společnosti Samsung opravuje tři kritické zranitelnosti Qualcommu, které byly v červnu opraveny pro telefony Pixel, takže společnost Samsung opět se zpožděním. Samsung již informoval veřejnost, že záplaty komponent, jako jsou ty pro chyby Qualcommu, se šíří déle než opravy softwaru a firmwaru, ale uživatelé Pixel opět měli své telefony zabezpečeny jako první.
Jedna z aktualizací v červencové bezpečnostní aktualizaci Samsung opravila současnou zranitelnost CVE-2024-31320, o které Google varuje, že „by mohla vést k místní eskalaci oprávnění bez nutnosti dalších oprávnění k provádění“. Doufejme, že bezpečnostní aktualizace Samsung pro srpen příští měsíc konečně opraví chybu CVE-2024-32896.
